PT-2020-16501 · Sap · Sap Netweaver As Java+1
Publicado
2020-12-09
·
Atualizado
2021-07-21
·
CVE-2020-26816
CVSS v3.1
5.4
Média
| Vetor | AV:A/AC:H/PR:H/UI:N/S:C/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
SAP AS JAVA (Serviço de Armazenamento de Chaves) versões 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50
Descrição
O material de chave armazenado no serviço SAP NetWeaver AS Java Key Storage é armazenado no banco de dados no formato codificado DER e não é criptografado. Isso permite que um invasor com acesso de administrador ao SAP NetWeaver AS Java decodifique as chaves e obtenha alguns dados de aplicativos e credenciais de clientes de sistemas adjacentes, afetando significativamente a confidencialidade.
Recomendações
Para as versões 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 e 7.50 do SAP AS JAVA (Serviço de Armazenamento de Chaves), considere desativar o acesso ao serviço de Armazenamento de Chaves até que um patch esteja disponível para criptografar o material de chave.
Restrinja o acesso ao SAP NetWeaver AS Java para minimizar o risco de exploração.
Evite usar o serviço Key Storage para armazenamento de dados confidenciais até que o problema seja resolvido.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Cleartext Storage of Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Sap As Java
Sap Netweaver As Java